Tải bản đầy đủ (.doc) (92 trang)
  1. Trang chủ
    2. >>
  2. Luận Văn - Báo Cáo
    3. >>
  3. Công nghệ thông tin

ĐỒ án CHUYÊN đề MẠNG

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (4.28 MB, 92 trang )

Buôn Ma Thuột - 10/2014
SỞ GIÁO DỤC ĐÀO TẠO
TRƯỜNG TRUNG CẤP TÂY NGUYÊN
ĐỒ ÁN
CHUYÊN ĐỀ MẠNG
Giảng viên : Nguyễn Trần Hồng Quân
Sinh viên : Trịnh Văn Long
Lớp : CNTT 7A
NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN
  
2
Đăk Lăk, ngày 23 tháng 10 năm 2014
Giáo viên
Nguyễn Trần Hồng Quân
Table of Contents
Chương 1. CƠ SỞ LÍ THUYẾT 6
I. Mạng máy tính 6
1.1. Mô hình Workgroup 6
1.2. Mô hình Domain 7
1.3. Active Directory 7
Kiến trúc của Active Directory 9
1.4. DNS 12
1.4.1. Giới thiệu DNS 12
1.4.2. Đặt điểm của DNS trong Windows 2003 14
1.4.3. Cơ chế phân giải tên. 15
1.5. Tổng quát về DHCP 16
1.5.1. Giới thiệu dich vụ DHCP 16
1.5.2. Hoạt động của giao thức DHCP 17
1.6. Tài khoản người dùng 17
1.6.1. Tài khoản người dùng (user account) 17
1.6.2. Tài khoản người dùng cục bộ (local user account) 17


1.6.3. Tài khoản người dùng miền (Domain user account) 18
1.6.4. Tài khoản nhóm 18
1.6.5. Quản lí tài khoản người dùng và nhóm trên ACTIVE DIRECTORY 19
1.7. Chính sách hệ thống 24
1.7.1. Chính sách tài khoản người dùng 24
1.7.2. Chính sách mật khẩu 24
1.7.3. Chính sách khóa tài khoản 25
1.8. Chính sách cục bộ 25
1.8.1. Chính sách kiểm toán (Audit Policies) 25
1.8.2. Các lựa chọn trong chính sách kiểm toán: 26
3
1.8.3. Quyền hệ thống của người dùng (User Rights Assignment) 27
1.8.4. Các lựa chọn bảo mật (Security Options) 28
1.9. Chính sách nhóm 29
1.9.1. So sánh giữa System Policy và Group Policy. 29
1.9.2. Chức năng của Group Policy 29
1.9.3. Chia sẻ thư mục dùng chung 30
1.9.4. Các tiện ích dòng lệnh quản lý tài khoản người dùng và tài khoản nhóm 31
1.10. Quyền truy cập NTFS 33
1.10.1. Các công cụ phân quyền NTFS 34
1.10.2. Kế thừa và thay thế quyền của đối tượng con 35
Chương 2. NỘI DUNG ĐỒ ÁN 36
A. ĐỀ 36
B. THỰC HIỆN 38
1. Đặt địa chỉ IP và đặt tên 38
1.1. Cài đặt DNS trên Server 38
1.2. Cài đặt dịch vụ DHCP 49
1.3. Lên Domain controler 54
1.4. Join máy client vào hệ thống Domain 58
1.5. Câu 1 : Tạo các object và đưa các user vào nhóm tương ứng 61

1.6. Câu 2 : Roaming Profile cho các user “Sếp”. Thư mục chứa roaming profile tên
là “Profiles” 62
1.7. Câu 3 : Tạo cây thư mục và phân quyền 64
1.8. Câu 4 : Deploy phần mềm Microsoft Office cho các user trong OU KeToan 74
1.9. Câu 5 : Cấm các user thuộc OU KeToan truy cập Control Panel, không được sử
dụng (Ctrl+Alt+Delete), Task manager, Lock conputer, Change Password 77
1.10. Câu 6 : Delegate Control cho phép kt1 được quản lý user account trong OU
KeToan 82
1.11. Câu 7 : Delegate Control cho phép ns1 được quản lý user account và group
trong OU NhanSu 83
4
1.12. Câu 8: Map Network Driver Folder Data bằng Script cho các user thuộc OU Kế
toan 84
1.13. Câu 9: Giám sát quá trình logon không thành công của các user 86
1.14. Câu 10: Giám sát quá trình truy cập vào Folder DataKeToan của các user trong
OU KeToan 88
TÀI LIỆU THAM KHẢO 92
5
Chương 1. CƠ SỞ LÍ THUYẾT
I. Mạng máy tính
Mạng máy tính hay hệ thống mạng (tiếng Anh: computer network hay network system)
là sự kết hợp các máy tính lại với nhau thông qua các thiết bị nối kết mạng và phương
tiện truyền thông (giao thức mạng, môi trường truyền dẫn) theo một cấu trúc nào đó và
các máy tính này trao đổi thông tin qua lại với nhau.
Lợi ích của mạng máy tính
• Nhiều người có thể dùng chung một phần mềm tiện ích.
• Một nhóm người cùng thực hiện một đề án nếu nối mạng họ sẽ dùng chung dữ
liệu của đề án, dùng chung tập tin chính (master file) của đề án, họ trao đổi thông
tin với nhau dễ dàng.
• Dữ liệu được quản lý tập trung nên bảo mật an toàn, trao đổi giữa những người

sử dụng thuận lợi, nhanh chóng, backup dữ liệu tốt hơn.
• Sử dụng chung các thiết bị máy in, máy scaner, đĩa cứng và các thiết bị khác.
• Người sử dụng và trao đổi thông tin với nhau dễ dàng thông qua dịch vụ thư điện
tử (Email), dịch vụ Chat, dịch vụ truyền file (FTP), dịch vụ Web,
• Xóa bỏ rào cản về khoảng cách địa lý giữa các máy tính trong hệ thống mạng
muốn chia sẻ và trao đổi dữ liệu với nhau.
• Một số người sử dụng không cần phải trang bị máy tính đắt tiền (chi phí thấp mà
chức năng lại mạnh).
• Cho phép người lập trình ở một trung tâm máy tính này có thể sử dụng các
chương trình tiện ích, vùng nhớ của một trung tâm máy tính khác đang rỗi để làm
tăng hiệu quả kinh tế của hệ thống.
• An toàn cho dữ liệu và phần mềm vì nó quản lý quyền truy cập của các tài khoản
người dùng (phụ thuộc vào các chuyên gia quản trị mạng)
Các mô hình mạng trong môi trường MICROSOFT
1.1. Mô hình Workgroup
Mô hình mạng workgroup còn gọi là mô hình mạng peer-to-peer, là mô hình mà trong
đó các máy tính có vai trò như nhau được nối kết với nhau. Các dữ liệu và tài nguyên
được lưu trữ phân tán tại các máy cục bộ, các máy tự quản lý tài nguyên cục bộ của
mình. Trong hệ thống mạng không có máy tính chuyên cung cấp dịch vụ và quản lý hệ
thống mạng. Mô hình này chỉ phù hợp với các mạng nhỏ, dưới mười máy tính và yêu
cầu bảo mật không cao.
Đồng thời trong mô hình mạng này các máy tính sử dụng hệ điều hành hỗ trợ đa người
dùng lưu trữ thông tin người dùng trong một tập tin SAM (Security Accounts Manager)
ngay chính trên máy tính cục bộ. Thông tin này bao gồm: username (tên đăng nhập),
6
fullname, password, description… Tất nhiên tập tin SAM này được mã hóa nhằm tránh
người dùng khác ăn cấp mật khẩu để tấn công vào máy tính. Do thông tin người dùng
được lưu trữ cục bộ trên các máy trạm nên việc chứng thực người dùng đăng nhập máy
tính cũng do các máy tính này tự chứng thực.
1.2. Mô hình Domain

Khác với mô hình Workgroup, mô hình Domain hoạt động theo cơ chế client-server,
trong hệ thống mạng phải có ít nhất một máy tính làm chức năng điều khiển vùng
(Domain Controller), máy tính này sẽ điều khiển toàn bộ hoạt động của hệ thống mạng.
Việc chứng thực người dùng và quản lý tài nguyên mạng được tập trung lại tại các
Server trong miền. Mô hình này được áp dụng cho các công ty vừa và lớn. Trong mô
hình Domain của Windows Server 2003 thì các thông tin người dùng được tập trung lại
do dịch vụ Active Directory quản lý và được lưu trữ trên máy tính điều khiển vùng
(domain controller) với tên tập tin là NTDS.DIT. Tập tin cơ sở dữ liệu này được xây
dựng theo công nghệ tương tự như phần mềm Access của Microsoft nên nó có thể lưu
trữ hàng triệu người dùng, cải tiến hơn so với công nghệ cũ chỉ lưu trữ được khoảng 5
nghìn tài khoản người dùng. Do các thông tin người dùng được lưu trữ tập trung nên
việc chứng thực người dùng đăng nhập vào mạng cũng tập trung và do máy điều khiển
vùng chứng thực.
1.3. Active Directory
Active Directory là một dịch vụ quản lý thư mục có thể chứa các thông tin về các máy
tính trong mạng, người dùng mạng, máy in, ứng dụng trên mạng, Bằng cách lưu trữ
thông tin trong một thư mục trung tâm nên tất cả các tài nguyên này đều có thể được sử
dụng chung đối với tất cả mọi người ở mọi thời điểm. Mô hình Domain (Miền) là một
kiến trúc thư mục có phân cấp các tài nguyên – Active Directory – và được sử dụng bởi
tất cả các hệ thống là thành viên của Miền. Các hệ thống này có thể sử dụng các tài
khoản người dùng, nhóm và máy tính trong trong thư mục để bảo mật các tài nguyên
của chúng. Do đó Active Directory đóng vai trò như một trung tâm lưu trữ nhận thực,
cung cấp một danh sách tin cậy chỉ ra “ai là ai” trong Miền. Bản thân Active Directory
đóng vai trò là một cơ sở dữ liệu, nó chứa một danh sách các thành phần hỗ trợ, bao
gồm cả các nhật ký giao dịch (transaction log) và dữ liệu hệ thống (sysvol), ở đây chứa
các thông tin về kịch bản đăng nhập và chính sách nhóm. Active Directory sử dụng giao
thức LDAP (Lightweight Directory Access Protocol), giao thức bảo mật Kerberos, các
chu trình đồng bộ dữ liệu và dịch vụ đồng bộ file FRS (File Replication Service).
Chính sách nhóm (Group Policy) Do cách thức thừa hưởng các thiết lập từ đối tượng
mức cha truyền xuống mức con, người quản trị có thể sử dụng các OU để gom các đối

tượng cần cấu hình tương tự nhau. Các thiết lập cấu hình mà được áp dụng đến từng
7
máy tính chạy Windows cũng có thể quản trị một cách tập trung nhờ sử dụng một tính
năng của Active Directory gọi là chính sách nhóm (Group Policy). Các chính sách nhóm
cho phép xác định các thiết lập bảo mật, triển khai phần mềm, cấu hình hệ điều hành và
cách thức hoạt động của các ứng dụng trên một máy tính mà không cần thiết phải thực
hiện trực tiếp trên máy tính cần thiết lập. Việc thiết lập các tùy chọn cấu hình trên một
đối tượng đặc biệt của Active Directory gọi là đối tượng chính sách nhóm GPO (Group
Policy Object) sau đó kết nối các GPO này vào các đối tượng trong Active Directory
chứa các máy tính hoặc người dùng muốn áp dụng.
− Hệ thống xác thực tập trung là ứng dụng trung gian, hoạt động như một dịch vụ,
kiểm tra tính hợp lệ và quyền truy cập của người dùng đối với các ứng dụng và
các tài nguyên trên mạng. - Cổng thông tin điện tử đóng vai trò cổng vào tập
trung, thống nhất đối với tất cả các ứng dụng, tài nguyên trên mạng. b) Các chính
sách bảo mật máy trạm
− Thiết lập các quyền truy cập tài nguyên mạng theo chức năng nhiệm vụ cho từng
nhóm đối tượng. - Các máy trạm khai thác số liệu kinh doanh chỉ được quyền sử
dụng ứng dụng cho phép, không được quyền cài đặt bất kỳ phần mềm nào khác. -
Triển khai từ xa các phần mềm ứng dụng cho các máy trạm. - Triển khai từ xa
các phần mềm anti-virus cho các máy trạm, đồng thời thực hiện việc rà quét từ
xa.
− Kiểm soát tình trạng kết nối của các máy trạm. - Kiểm soát tình trạng đăng nhập,
sử dụng tài nguyên của người dùng.
Kiến trúc của Active Directory bao gồm Objects, Organizational Units, Domain ,
Domain Tree, Forest
8
Kiến trúc của Active Directory
1) Objects
Trước khi tìm hiểu khái niệm Object, chúng ta phải tìm hiểu trước hai khái niệm Object
classes và Attributes. Object classes là một bản thiết kế mẫu hay một khuôn mẫu cho

các loại đối tượng mà bạn có thể tạo ra trong Active Directory. Có ba loại object classes
thông dụng là: User, Computer, Printer. Khái niệm thứ hai là Attributes, nó được định
nghĩa là tập các giá trị phù hợp và được kết hợp với một đối tượng cụ thể. Như vậy
Object là một đối tượng duy nhất được định nghĩa bởi các giá trị được gán cho các thuộc
tính của object classes. Ví dụ hình sau minh họa hai đối tượng là: máy in ColorPrinter1
và người dùng KimYoshida.
2) Organizational Units
Organizational Unit hay OU là đơn vị nhỏ nhất trong hệ thống AD, nó được xem là một
vật chứa các đối tượng (Object) được dùng để sắp xếp các đối tượng khác nhau phục vụ
cho mục đích quản trị của bạn. OU cũng được thiết lập dựa trên subnet IP và được định
nghĩa là “một hoặc nhiều subnet kết nối tốt với nhau”. Việc sử dụng OU có hai công
dụng chính sau:
9
- Trao quyền kiếm soát một tập hợp các tài khoản người dùng, máy tính hay các thiết bị
mạng cho một nhóm người hay một phụ tá quản trị viên nào đó (sub-administrator), từ
đó giảm bớt công tác quản trị cho người quản trị toàn bộ hệ thống.
- Kiểm soát và khóa bớt một số chức năng trên các máy trạm của người dùng trong OU
thông qua việc sử dụng các đối tượng chính sách nhóm (GPO), các chính sách nhóm này
chúng ta sẽ tìm hiểu ở các chương sau.
3) Domain
Domain là đơn vị chức năng nòng cốt của cấu trúc logic Active Directory. Nó là
phương tiện để qui định một tập hợp những người dùng, máy tính, tài nguyên chia sẻ có
những qui tắc bảo mật giống nhau từ đó giúp cho việc quản lý các truy cập vào các
Server dễ dàng hơn. Domain đáp ứng ba chức năng chính sau: - Đóng vai trò như một
khu vực quản trị (administrative boundary) các đối tượng, là một tập hợp các định nghĩa
quản trị cho các đối tượng chia sẻ như: có chung một cơ sở dữ liệu thư mục, các chính
sách bảo mật, các quan hệ ủy quyền với các domain khác.
- Giúp chúng ta quản lý bảo mật các các tài nguyên chia sẻ.
- Cung cấp các Server dự phòng làm chức năng điều khiển vùng (domain controller),
đồng thời đảm bảo các thông tin trên các Server này được được đồng bộ với nhau.

4) Domain Tree
Domain Tree là cấu trúc bao gồm nhiều domain được sắp xếp có cấp bậc theo cấu trúc
hình cây. Domain tạo ra đầu tiên được gọi là domain root và nằm ở gốc của cây thư
mục. Tất cả các domain tạo ra sau sẽ nằm bên dưới domain root và được gọi là domain
con (child domain). Tên của các domain con phải khác biệt nhau. Khi một domain root
và ít nhất một domain con được tạo ra thì hình thành một cây domain. Khái niệm này
bạn sẽ thường nghe thấy khi làm việc với một dịch vụ thư mục. Bạn có thể thấy cấu trúc
sẽ có hình dáng của một cây khi có nhiều nhánh xuất hiện.
10
5) Forest
Forest (rừng) được xây dựng trên một hoặc nhiều Domain Tree, nói cách khác Forest là
tập hợp các Domain Tree có thiết lập quan hệ và ủy quyền cho nhau. Ví dụ giả sử một
công ty nào đó, chẳng hạn như Microsoft, thu mua một công ty khác. Thông thường,
mỗi công ty đều có một hệ thống Domain Tree riêng và để tiện quản lý, các cây này sẽ
được hợp nhất với nhau bằng một khái niệm là rừng.
Trong ví dụ trên, công ty mcmcse.com thu mua được techtutorials.com và xyzabc.com
và hình thành rừng từ gốc mcmcse.c
6) Domain Controller
11
Domain Controller là hệ thống máy chủ được thiết lập để quản lý một Domain. Một
Domain có thể có nhiều Domain Controller. Một máy chủ để trở thành Domain
Controller bắt buộc phải cài đặt và khởi tạo Active Directory. Domain Controller quản
lý Domain của mình thông qua Active Directory đó,tính hoặc các nhóm khác, độc lập
trong cấu trúc của Active Directory. Các nhóm có thể chứa các đối tượng từ các OU và
các Miền. Thư mục chia sẻ: cung cấp các truy nhập dựa trên Active Directory đến một
thư mục chia sẻ trong một máy tính Windows. Máy in: Cung cấp các truy nhập mạng
dựa trên Active Directory đến một máy in trong một máy tính Windows. Mỗi đối tượng
Active Directory có chứa một tập hợp các thuộc tính, chính là các thông tin về đối tượng
đó. Ví dụ, đối tượng người dùng sẽ có các thuộc tính mô tả tên tài khoản, mật khẩu, địa
chỉ, số điện thoại,…; Một đối tượng nhóm sẽ có các thuộc tính cho biết danh sách người

dùng là thành viên của nhóm đó,… Bên cạnh các thuộc tính thuần túy thông tin, các đối
tượng còn có các thuộc tính thực hiện các chức năng quản trị, ví dụ như một Danh sách
kiểm soát truy nhập ACL (Access Control List) chỉ định những ai được phép truy cập
đến đối tượng đó.
1.4. DNS
1.4.1. Giới thiệu DNS
Mỗi máy tính trong mạng muốn liên lạc hay trao đổi thông tin, dữ liệu cho nhau cần
phải biết rõ địa chỉ IP của nhau. Nếu số lượng máy tính nhiều thì việc nhớ những địa chỉ
IP này rất là khó khăn.
Mỗi máy tính ngoài địa chỉ IP ra còn có một tên (hostname). Đối với con người việc
nhớ tên máy dù sao cũng dễ dàng hơn vì chúng có tính trực quan và gợi nhớ hơn địa chỉ
IP. Vì thế, người ta nghĩ ra cách làm sao ánh xạ địa chỉ IP thành tên máy tính.
Ban đầu do quy mô mạng ARPA NET (tiền thân của mạng Internet) còn nhỏ chỉ vài
trăm máy, nên chỉ có một tập tin đơn HOSTS.TXT lưu thông tin về ánh xạ tên máy
thành địa chỉ IP. Trong đó tên máy chỉ là 1 chuỗi văn bản không phân cấp (flat name).
Tập tin này được duy trì tại 1 máy chủ và các máy chủ khác lưu giữ bản sao của nó. Tuy
nhiên khi quy mô mạng lớn hơn, việc sử dụng tập tin HOSTS.TXT có các nhược điểm
như sau:
- Lưu lượng mạng và máy chủ duy trì tập tin HOSTS.TXT bị quá tải do hiệu ứng “cổ
chai”.
- Xung đột tên: Không thể có 2 máy tính có cùng tên trong tập tin HOSTS.TXT . Tuy
nhiên do tên máy không phân cấp và không có gì đảm bảo để ngăn chặn việc tạo 2 tên
trùng nhau vì không có cơ chế uỷ quyền quản lý tập tin nên có nguy cơ bị xung đột tên.
12
- Không đảm bảo sự toàn vẹn: việc duy trì 1 tập tin trên mạng lớn rất khó khăn. Ví dụ
như khi tập tin HOSTS.TXT vừa cập nhật chưa kịp chuyển đến máy chủ ở xa thì đã có
sự thay đổi địa chỉ trên mạng rồi.
Tóm lại việc dùng tập tin HOSTS.TXT không phù hợp cho mạng lớn vì thiếu cơ chế
phân tán và mở rộng. Do đó, dịch vụ DNS ra đời nhằm khắc phục các nhược điểm này.
Người thiết kế cấu trúc của dịch vụ DNS là Paul Mockapetris - USC's Information

Sciences Institute, và các khuyến nghị RFC của DNS là RFC 882 và 883, sau đó là RFC
1034 và 1035 cùng với 1 số RFC bổ sung như bảo mật trên hệ thống DNS, cập nhật
động các bản ghi DNS …
Lưu ý: Hiện tại trên các máy chủ vẫn sử dụng được tập tin hosts.txt để phân giải tên
máy tính thành địa chỉ IP (trong Windows tập tin này nằm trong thư mục
WINDOWS\system32\drivers\etc)
Dịch vụ DNS hoạt động theo mô hình Client-Server: phần Server gọi là máy chủ phục
vụ tên hay còn gọi là Name Server, còn phần Client là trình phân giải tên - Resolver.
Name Server chứa các thông tin CSDL của DNS, còn Resolver đơn giản chỉ là các hàm
thư viện dùng để tạo các truy vấn (query) và gửi chúng qua đến Name Server. DNS
được thi hành như một giao thức tầng Application trong mạng TCP/IP. DNS là 1 CSDL
phân tán. Điều này cho phép người quản trị cục bộ quản lý phần dữ liệu nội bộ thuộc
phạm vi của họ, đồng thời dữ liệu này cũng dễ dàng truy cập được trên toàn bộ hệ thống
mạng theo mô hình Client-Server. Hiệu suất sử dụng dịch vụ được tăng cường thông
qua cơ chế nhân bản (replication) và lưu tạm (caching). Một hostname trong domain là
sự kết hợp giữa những từ phân cách nhau bởi dấu chấm(.).
Cơ sở dữ liệu(CSDL) của DNS là một cây đảo ngược. Mỗi nút trên cây cũng lại là gốc
của 1 cây con. Mỗi cây con là 1 phân vùng con trong toàn bộ CSDL DNS gọi là 1 miền
(domain). Mỗi domain có thể phân chia thành các phân vùng con nhỏ hơn gọi là các
miền con (subdomain). Mỗi domain có 1 tên (domain name). Tên domain chỉ ra vị trí
của nó trong CSDL DNS. Trong DNS tên miền là chuỗi tuần tự các tên nhãn tại nút đó
đi ngược lên nút gốc của cây và phân cách nhau bởi dấu chấm. Tên nhãn bên phải trong
mỗi domain name được gọi là top-level domain. Trong ví dụ trước
srv1.csc.hcmuns.edu.vn, vậy miền “.vn” là top-level domain. Bảng sau đây liệt kê top-
level domain.
Tên miền Mô tả
com Các tổ chức, công ty thương mại
.org Các tổ chức phi lợi nhuận
13
.net Các trung tâm hỗ trợ về mạng

.edu Các tổ chức giáo dục
.gov Các tổ chức thuộc chính phủ
.mil Các tổ chức quân sự
.int
Các tổ chức được thành lập bởi các hiệp ước quốc tế
Vì sự quá tải của những domain name đã tồn tại, do đó đã làm phát sinh những top-level
domain mới. Bảng sau đây liệt kê những top-level domain mới.
Tên miền Mô tả
. arts Những tổ chức liên quan đến nghệ thuật và kiến trúc
.nom Những địa chỉ cá nhân và gia đình
.rec Những tổ chức có tính chất giải trí, thể thao
.firm Những tổ chức kinh doanh, thương mại.
.info Những dịch vụ liên quan đến thông tin.
Bên cạnh đó, mỗi nước cũng có một top-level domain. Ví dụ top-leveldomain của Việt
Nam là .vn, Mỹ là .us, ta có thể tham khảo thêm thông tin địa chỉ tên miền tại địa chỉ:

Ví dụ về tên miền của một số quốc gia.
Tên miền quốc gia Tên quốc gia
.vn Việt Nam
.us Mỹ
.uk Anh
.jp Nhật Bản
.cn Trung Quốc
… …
1.4.2. Đặt điểm của DNS trong Windows 2003.
14
- Conditional forwarder: Cho phép Name Server chuyển các yêu cầu phân giải dựa theo
tên domain trong yêu cầu truy vấn. - Stub zone: hỗ trợ cơ chế phân giải hiệu quả hơn. -
Đồng bộ các DNS zone trong Active Directory (DNS zone replication in Active
Directory). - Cung cấp một số cơ chế bảo mật tốt hơn trong các hệ thống Windows trước

đây. - Luân chuyển (Round robin) tất cả các loại RR. - Cung cấp nhiêu cơ chế ghi nhận
và theo dõi sự cố lỗi trên DNS.
- Hỗ trợ giao thức DNS Security Extensions (DNSSEC) để cung cấp các tính năng bảo
mật cho việc lưu trữ và nhân bản (replicate) zone. - Cung cấp tính năng EDNS0
(Extension Mechanisms for DNS) để cho phép DNS Requestor quản bá những zone
transfer packet có kích thước lớn hơn 512 byte.
1.4.3. Cơ chế phân giải tên.
• Phân giải tên thành IP
Root name server : Là máy chủ quản lý các name server ở mức top-level domain. Khi có
truy vấn về một tên miền nào đó thì Root Name Server phải cung cấp tên và địa chỉ IP
của name server quản lý top-level domain (Thực tế là hầu hết các root server cũng chính
là máy chủ quản lý top-level domain) và đến lượt các name server của top-level domain
cung cấp danh sách các name server có quyền trên các second-level domain mà tên miền
này thuộc vào. Cứ như thế đến khi nào tìm được máy quản lý tên miền cần truy vấn.
Qua trên cho thấy vai trò rất quan trọng của root name server trong quá trình phân giải
tên miền. Nếu mọi root name server trên mạng Internet không liên lạc được thì mọi yêu
cầu phân giải đều không thực hiện được.
Client sẽ gửi yêu cầu cần phân giải địa chỉ IP của máy tính có tên girigiri.gbrmpa.gov.au
đến name server cục bộ. Khi nhận yêu cầu từ Resolver, Name Server cục bộ sẽ phân tích
tên này và xét xem tên miền này có do mình quản lý hay không. Nếu như tên miền do
Server cục bộ quản lý, nó sẽ trả lời địa chỉ IP của tên máy đó ngay cho Resolver. Ngược
lại, server cục bộ sẽ truy vấn đến một Root Name Server gần nhất mà nó biết được. Root
Name Server sẽ trả lời địa chỉ IP của Name Server quản lý miền au. Máy chủ name
server cục bộ lại hỏi tiếp name server quản lý miền au và được tham chiếu đến máy chủ
quản lý miền gov.au. Máy chủ quản lý gov.au chỉ dẫn máy name server cục bộ tham
chiếu đến máy chủ quản lý miền gbrmpa.gov.au. Cuối cùng máy name server cục bộ
truy vấn máy chủ quản lý miền gbrmpa.gov.au và nhận được câu trả lời.
Các loại truy vấn : Truy vấn có thể ở 2 dạng :
- Truy vấn đệ quy (recursive query) : khi name server nhận được truy vấn dạng này, nó
bắt buộc phải trả về kết quả tìm được hoặc thông báo lỗi nếu như truy vấn này không

phân giải được. Name server không thể tham chiếu truy vấn đến một name server khác.
15
Name server có thể gửi truy vấn dạng đệ quy hoặc tương tác đến name server khác
nhưng phải thực hiện cho đến khi nào có kết quả mới thôi.
- Truy vấn tương tác (Iteractive query): khi name server nhận được truy vấn dạng này,
nó trả lời cho Resolver với thông tin tốt nhất mà nó có được vào thời điểm lúc đó. Bản
thân name server không thực hiện bất cứ một truy vấn nào thêm. Thông tin tốt nhất trả
về có thể lấy từ dữ liệu cục bộ (kể cả cache). Trong trường hợp name server không tìm
thấy trong dữ liệu cục bộ nó sẽ trả về tên miền và địa chỉ IP của name server gần nhất
mà nó biết.
• Phân giải IP thành tên máy tính
Ánh xạ địa chỉ IP thành tên máy tính được dùng để diễn dịch các tập tin log cho dễ đọc
hơn. Nó còn dùng trong một số trường hợp chứng thực trên hệ thống UNIX (kiểm tra
các tập tin .rhost hay host.equiv). Trong không gian tên miền đã nói ở trên dữ liệu -bao
gồm cả địa chỉ IP- được lập chỉ mục theo tên miền. Do đó với một tên miền đã cho việc
tìm ra địa chỉ IP khá dễ dàng. Để có thể phân giải tên máy tính của một địa chỉ IP, trong
không gian tên miền người ta bổ sung thêm một nhánh tên miền mà được lập chỉ mục
theo địa chỉ IP. Phần không gian này có tên miền là in- addr.arpa.
Mỗi nút trong miền in-addr.arpa có một tên nhãn là chỉ số thập phân của địa chỉ IP. Ví
dụ miền in- addr.arpa có thể có 256 subdomain, tương ứng với 256 giá trị từ 0 đến 255
của byte đầu tiên trong địa chỉ IP. Trong mỗi subdomain lại có 256 subdomain con nữa
ứng với byte thứ hai. Cứ như thế và đến byte thứ tư có các bản ghi cho biết tên miền đầy
đủ của các máy tính hoặc các mạng có địa chỉ IP tương ứng.
L ưu ý khi đọc tên miền địa chỉ IP sẽ xuất hiện theo thứ tự ngược. Ví dụ nếu địa chỉ IP
của máy winnie.corp.hp.com là 15.16.192.152, khi ánh xạ vào miền in-addr.arpa sẽ là
152.192.16.15.in- addr.arpa.
1.5. Tổng quát về DHCP
1.5.1. Giới thiệu dich vụ DHCP
- Dịch vụ DHCP cho phép chúng ta cấp động các thông số cấu hình mạng cho các máy
trạm (client). Các hệ điều hành của Microsoft và các hệ điều hành khác như Unix hoặc

Macintosh đều hỗ trợ cơ chế nhận các thông số động, có nghĩa là trên các hệ điều hành
này phải có một DHCP Client.
- Cơ chế sử dụng các thông số mạng được cấp phát động có ưu điểm hơn so với cơ chế
khai báo tĩnh các thông số mạng như:
Khắc phục được tình trạng đụng địa chỉ IP và giảm chi phí quản trị cho hệ thống mạng.
16
Giúp cho các nhà cung cấp dịch vụ (ISP) tiết kiệm được số lượng địa chỉ IP thật (Public
IP).
Phù hợp cho các máy tính thường xuyên di chuyển qua lại giữa các mạng.
Kết hợp với hệ thống mạng không dây (Wireless) cung cấp các điểm Hotspot như: nhà
ga, sân bay, trường học…
1.5.2. Hoạt động của giao thức DHCP
Giao thức DHCP làm việc theo mô hình client/server. Theo đó, quá trình tương tác giữa
DHCP client và server diễn ra theo các bước sau:
- Khi máy client khởi động, máy sẽ gửi broadcast gói tin DHCPDISCOVER, yêu cầu
một server phục vụ mình. Gói tin này cũng chứa địa chỉ MAC của máy client.
- Các máy Server trên mạng khi nhận được gói tin yêu cầu đó, nếu còn khả năng cung
cấp địa chỉ IP, đều gửi lại cho máy Client gói tin DHCPOFFER, đề nghị cho thuê một
địa chỉ IP trong một khoản thời gian nhất định, kèm theo là một subnet mask và địa chỉ
của Server. Server sẽ không cấp phát địa chỉ IP vừa đề nghị cho những Client khác trong
suốt quá trình thương thuyết.
- Máy Client sẽ lựa chọn một trong những lời đề nghị (DHCPOFFER) và gửi broadcast
lại gói tin DHCPREQUEST chấp nhận lời đề nghị đó. Điều này cho phép các lời đề
nghị không được chấp nhận sẽ được các Server rút lại và dùng đề cấp phát cho Client
khác.
- Máy Server được Client chấp nhận sẽ gửi ngược lại một gói tin DHCPACK như là
một lời xác nhận, cho biết là địa chỉ IP đó, subnet mask đó và thời hạn cho sử dụng đó
sẽ chính thức được áp dụng. Ngoài ra Server còn gửi kèm theo những thông tin cấu hình
bổ sung như địa chỉ của gateway mặc định, địa chỉ DNS Server, …
1.6. Tài khoản người dùng

1.6.1. Tài khoản người dùng (user account)
Tài khoản người dùng (user account) là một đối tượng quan trọng đại diện cho người
dùng trên mạng, chúng được phân biệt với nhau thông qua chuỗi nhận dạng username.
Chuỗi nhận dạng này giúp hệ thống mạng phân biệt giữa người này và người khác trên
mạng từ đó người dùng có thể đăng nhập vào mạng và truy cập các tài nguyên mạng mà
mình được phép.
1.6.2. Tài khoản người dùng cục bộ (local user account)
17
Tài khoản người dùng cục bộ (local user account) là tài khoản người dùng được định
nghĩa trên máy cục bộ và chỉ được phép logon, truy cập các tài nguyên trên máy tính cục
bộ. Nếu muốn truy cập các tài nguyên trên mạng thì người dùng này phải chứng thực lại
với máy domain controller hoặc máy tính chứa tài nguyên chia sẻ. Bạn tạo tài khoản
người dùng cục bộ với công cụ Local Users and Group trong Computer Management
(COMPMGMT.MSC).
Các tài khoản cục bộ tạo ra trên máy stand-alone server, member server hoặc các máy
trạm đều được lưu trữ trong tập tin cơ sở dữ liệu SAM (Security Accounts Manager).
Tập tin SAM này được đặt trong thư m ục \Windows\system32\config.
1.6.3. Tài khoản người dùng miền (Domain user account)
Tài khoản người dùng miền (domain user account) là tài khoản người dùng được định
nghĩa trên Active Directory và được phép đăng nhập (logon) vào mạng trên bất kỳ máy
trạm nào thuộc vùng. Đồng thời với tài khoản này người dùng có thể truy cập đến các
tài nguyên trên mạng. Bạn tạo tài khoản người dùng miền với công cụ Active Directory
Users and Computer (DSA.MSC). Khác với tài khoản người dùng cục bộ, tài khoản
người dùng miền không chứa trong các tập tin cơ sở dữ liệu SAM mà chứa trong tập tin
NTDS.DIT, theo mặc định thì tập tin này chứa trong thư mục \Windows\NTDS.
Yêu cầu về tài khoản người dùng.
- Mỗi username phải từ 1 đến 20 ký tự (trên Windows Server 2003 thì tên đăng nhập có
thể dài đến 104 ký tự, tuy nhiên khi đăng nhập từ các máy cài hệ điều hành Windows
NT 4.0 về trước thì mặc định chỉ hiểu 20 ký tự).
- Mỗi username là chuỗi duy nhất của mỗi người dùng có nghĩa là tất cả tên của người

dùng và nhóm không được trùng nhau.
- Username không chứa các ký tự sau: “ / \ [ ] : ; | = , + * ? < >
- Trong một username có thể chứa các ký tự đặc biệt bao gồm: dấu chấm câu, khoảng
trắng, dấu gạch ngang, dấu gạch dưới. Tuy nhiên, nên tránh các khoảng trắng vì những
tên như thế phải đặt trong dấu ngoặc khi dùng các kịch bản hay dòng lệnh.
1.6.4. Tài khoản nhóm
Tài khoản nhóm (group account) là một đối tượng đại diện cho một nhóm người nào
đó, dùng cho việc quản lý chung các đối tượng người dùng. Việc phân bổ các người
dùng vào nhóm giúp chúng ta dễ dàng cấp quyền trên các tài nguyên mạng như thư mục
chia sẻ, máy in. Chú ý là tài khoản người dùng có thể đăng nhập vào mạng nhưng tài
khoản nhóm không được phép đăng nhập mà chỉ dùng để quản lý. Tài khoản nhóm được
18
chia làm hai loại: nhóm bảo mật (security group) và nhóm phân phối (distribution
group).
1.6.5. Quản lí tài khoản người dùng và nhóm trên ACTIVE DIRECTORY
1. Tạo mới tài khoản người dùng
Bạn có thể dùng công cụ Active Directory User and Computers trong Administrative
Tools ngay trên máy Domain Controller để tạo các tài khoản người dùng miền. Công cụ
này cho phép bạn quản lý tài khoản người dùng từ xa thậm chí trên các máy trạm không
phải dùng hệ điều hành Server như WinXP, Win2K Pro. Muốn thế trên các máy trạm
này phải cài thêm bộ công cụ Admin Pack. Bộ công cụ này nằm trên Server trong thư
mục \Windows\system32\ADMINPAK.MSI. Tạo một tài khoản người dùng trên Active
Directory, ta làm các bước sau: Chọn Start > Programs > Administrative Tools > Active
Directory Users and Computers. Cửa sổ Active Directory Users and Computers xuất
hiện, bạn nhấp phải chuột vào mục Users, chọn New > Use
Hộp thoại New Object-User xuất hiện như hình sau, bạn nhập tên mô tả người dùng, tên
tài khoản logon vào mạng. Giá trị Full Name sẽ tự động phát sinh khi bạn nhập giá trị
First Name và Last Name, nhưng bạn vẫn có thể thay đổi được. Chú ý: giá trị quan trọng
nhất và bắt buộc phải có là logon name (username). Chuỗi này là duy nhất cho một tài
khoản người dùng theo như định nghĩa trên phần lý thuyết. Trong môi trường Windows

2000 và 2003, Microsoft đưa thêm một khái niệm hậu tố UPN (Universal Principal
Name), trong ví dụ này là “@netclass.edu.vn”. Hậu tố UPN này gắn vào sau chuỗi
username dùng để tạo thành một tên username đầy đủ dùng để chứng thực ở cấp rừng
hoặc chứng thực ở một miền khác có quan hệ tin cậy với miền của người dùng đó, trong
ví dụ này thì tên username đầy đủ là “”. Ngoài ra trong hộp thoại
này cũng cho phép chúng ta đặt tên username của tài khoản người dùng phục vụ cho hệ
thống cũ (pre-Windows 2000). Sau khi việc nhập các thông tin hoàn thành bạn nhấp
chuột vào nút Next để tiếp tục.
19
Hộp thoại thứ hai xuất hiện, cho phép bạn nhập vào mật khẩu (password) của tài khoản
người dùng và đánh dấu vào các lựa chọn liên quan đến tài khoản như: cho phép đổi mật
khẩu, yêu cầu phải đổi mật khẩu lần đăng nhập đầu tiên hay khóa tài khoản. Các lựa
chọn này chúng ta sẽ tìm hiểu chi tiết ở phần tiếp theo.
Hộp thoại cuối cùng xuất hiện và nó hiển thị các thông tin đã cấu hình cho người dùng.
Nếu tất cả các thông tin đã chính xác thì bạn nhấp chuột vào nút Finish để hoàn thành,
còn nếu cần chỉnh sửa lại thì nhấp chuột vào nút Back để trở về các hộp thoại trước.
20
2. Các thuộc tính của tài khoản người dùng
Muốn quản lý các thuộc tính của các tài khoản người ta dùng công cụ Active Directory
Users and Computers sau đó chọn thư mục Users và nhấp đôi chuột vào tài khoản người
dùng cần khảo sát. Hộp thoại Properties xuất hiện, trong hộp thoại này chứa 12 Tab
chính, ta sẽ lần lượt khảo sát các Tab này.
21
Tab General
Tab General chứa các thông tin chung của người dùng trên mạng mà bạn đã nhập trong
lúc tạo người dùng mới. Đồng thời bạn có thể nhập thêm một số thông tin như: số điện
thoại, địa chỉ mail và trang địa chỉ trang Web cá nhân
Tab Address
Tab Address cho phép bạn có thể khai báo chi tiết các thông tin liên quan đến địa chỉ
của tài khoản người dùng như: địa chỉ đường, thành phố, mã vùng, quốc gia…

Tab Telephones
Tab Telephones cho phép bạn khai báo chi tiết các số điện thoại của tài khoản người
dùng.
Tab Organization
Tab Organization cho phép bạn khai báo các thông tin người dùng về: chức năng của
công ty, tên phòng ban trực thuộc, tên công ty …
Tab Account
Tab Account cho phép bạn khai báo lại username, quy định giờ logon vào mạng cho
người dùng, quy định máy trạm mà người dùng có thể sử dụng để vào mạng, quy định
các chính sách tài khoản cho người dùng, quy định thời điểm hết hạn của tài khoản…
Chọn lựa máy trạm được truy cập vào mạng: bạn nhấp chuột vào nút Log On To, bạn sẽ
thấy hộp thoại Logon Workstations xuất hiện. Hộp thoại này cho phép bạn chỉ định
người dùng có thể logon từ tất cả các máy tính trong mạng hoặc giới hạn người dùng chỉ
được phép logon từ một số máy tính trong mạng. Ví dụ như người quản trị mạng làm
việc trong môi trường bảo mật nên tài khoản người dùng này chỉ được chỉ định logon
vào mạng từ một số máy tránh tình trạng người dùng giả dạng quản trị để tấn công
mạng. Muốn chỉ định máy tính mà người dùng được phép logon vào mạng, bạn nhập tên
máy tính đó vào mục Computer Name và sau đó nhấp chuột vào nút Add.
Bảng mô tả chi tiết các tùy chọn liên quan đến tài khoản người dùng:
Tùy Chọn Ý Nghĩa
User must change password at next
logon
Người dùng phải thay đổi mật khẩu lần
đăng nhập kế tiếp, sau đó mục này sẽ tự
động bỏ chọn.
User cannot change password Nếu được chọn thì ngăn không cho người
22
dùng tùy ý thay đổi mật khẩu.
Password never expires
Nếu được chọn thì mật khẩu của tài

khoản này không bao giờ hết hạn.
Store password using reversible
encryption
Chỉ áp dụng tùy chọn này đối với người
dùng đăng nhập từ các máy Apple.
Account is disabled
Nếu được chọn thì tài khoản này tạm thời
bị khóa, không sử dụng được.
Smart card is required for interactive
login
Tùy chọn này được dùng khi người dùng
đăng nhập vào mạng thông qua một thẻ
thông minh (smart card), lúc đó người
dùng không nhập username và password
mà chỉ cần nhập vào một số PIN.
Account is trusted for delegation
Chỉ áp dụng cho các tài khoản dịch vụ
nào cần giành được quyền truy cập vào tài
nguyên với vai trò những tài khoản người
dùng khác
Account is sensitive and cannot be
delegated
Dùng tùy chọn này trên một tài khoản
khách vãng lai hoặc tạm để đảm bảo rằng
tài khoản đó sẽ không được đại diện bởi
một tài khoản khác
Use DES encryption types for this
account
Nếu được chọn thì hệ thống sẽ hỗ trợ
Data Encryption Standard (DES) với

nhiều mức độ khác nhau.
Do not require Kerberos
preauthentication
Nếu được chọn hệ thống sẽ cho phép tài
khoản này dùng một kiểu thực hiện giao
thức Kerberos khác với kiểu của
Windows Server 2003
Tab Profile
Tab Profile cho phép bạn khai báo đường dẫn đến Profile của tài khoản người dùng hiện
tại, khai báo tập tin logon script được tự động thi hành khi người dùng đăng nhập hay
khai báo home folder. Chú ý các tùy chọn trong Tab Profile này chủ yếu phục vụ cho
các máy trạm trước Windows 2000, còn đối với các máy trạm từ Win2K trở về sau như:
23
Win2K Pro, WinXP, Windows Server 2003 thì chúng ta có thể cấu hình các lựa chọn
này trong Group Policy.
Tab Member Of.
Tab Member Of cho phép bạn xem và cấu hình tài khoản người dùng hiện tại là thành
viên của những nhóm nào. Một tài khoản người dùng có thể là thành viên của nhiều
nhóm khác nhau và nó được thừa hưởng quyền của tất cả các nhóm này
Tab Dial-in
Tab Dial-in cho phép bạn cấu hình quyền truy cập từ xa của người dùng cho kết nối
dial-in hoặc VPN, chúng ta sẽ khảo sát chi tiết ở chương Routing and Remote Access.
1.7. Chính sách hệ thống
1.7.1. Chính sách tài khoản người dùng
Chính sách tài khoản người dùng (Account Policy) được dùng để chỉ định các thông số
về tài khoản người dùng mà nó được sử dụng khi tiến trình logon xảy ra. Nó cho phép
bạn cấu hình các thông số bảo mật máy tính cho mật khẩu, khóa tài khoản và chứng
thực Kerberos trong vùng. Nếu trên Server thành viên thì bạn sẽ thấy hai mục Password
Policy và Account Lockout Policy, trên máy Windows Server 2003 làm domain
controller thì bạn sẽ thấy ba thư mục Password Policy, Account Lockout Policy và

Kerberos Policy. Trong Windows Server 2003 cho phép bạn quản lý chính sách tài
khoản tại hai cấp độ là: cục bộ và miền.
Muốn cấu hình các chính sách tài khoản người dùng ta vào Start > Programs >
Administrative Tools > Domain Security Policy hoặc Local Security Policy.
1.7.2. Chính sách mật khẩu
Chính sách mật khẩu (Password Policies) nhằm đảm bảo an toàn cho mật khẩu của
người dùng để trách các trường hợp đăng nhập bất hợp pháp vào hệ thống. Chính sách
này cho phép bạn qui định chiều dài ngắn nhất của mật khẩu, độ phức tạp của mật
khẩu…
Các lựa chọn trong chính sách mật mã:
Chính sách Mô tả
Enforce Password History Số lần đặt mật mã không được trùng nhau
Maximum Password Age
Quy định số ngày nhiều nhất mà mật mã người dùng
có hiệu lực
24
Minimum Password Age
Quy số ngày tối thiểu trước khi người dùng có thể
thay đổi mật mã.
Minimum Password Length Chiều dài ngắn nhất của mật mã
Passwords Must Meet
Complexity Requirements
Mật khẩu phải có độ phức tạp như: có ký tự hoa,
thường, có ký số.
Store Password Using
Reversible Encryption for All
Users in the Domain
Mật mã người dùng được lưu dưới dạng mã hóa
1.7.3. Chính sách khóa tài khoản
Chính sách khóa tài khoản (Account Lockout Policy) quy định cách thức và thời điểm

khóa tài khoản trong vùng hay trong hệ thống cục bộ. Chính sách này giúp hạn chế tấn
công thông qua hình thức logon từ xa.
Các thông số cấu hình chính sách khóa tài khoản:
1.8. Chính sách cục bộ
Chính sách cục bộ (Local Policies) cho phép bạn thiết lập các chính sách giám sát các
đối tượng trên mạng như người dùng và tài nguyên dùng chung. Đồng thời dựa vào
công cụ này bạn có thể cấp quyền hệ thống cho các người dùng và thiết lập các lựa chọn
bảo mật.
1.8.1. Chính sách kiểm toán (Audit Policies)
25
Chính sách Mô tả
Account Lockout Threshold
Quy định số l ần cố g ắng đăng nhập trước khi tài
khoản bị khóa
Account Lockout Duration Quy định thời gian khóa tài khoản
Reset Account Lockout
Counter After
Quy định thời gian đếm lại số l ần đăng nhập không
thành công

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×